Microsoft mengeluarkan peringatan keamanan terkait kerentanan serius yang memengaruhi Exchange Server versi lokal (on-premise), yang dapat memungkinkan pelaku ancaman mendapatkan hak akses tingkat tinggi dalam kondisi tertentu.
Kerentanan ini dilacak dengan kode CVE-2025-53786 dan memiliki skor tingkat keparahan CVSS 8.0. Celah tersebut ditemukan oleh Dirk-jan Mollema dari Outsider Security.
“Pada pengaturan Exchange hybrid, pelaku yang berhasil mendapatkan akses administratif ke Exchange Server lokal dapat meningkatkan hak akses ke lingkungan cloud perusahaan tanpa meninggalkan jejak yang mudah dideteksi atau diaudit,” ujar Microsoft dalam peringatannya.
Hal ini disebabkan karena Exchange Server dan Exchange Online menggunakan service principal yang samadalam konfigurasi hybrid. Akibatnya, jika dieksploitasi dengan sukses, pelaku bisa menyusup lebih dalam ke cloud perusahaan secara diam-diam. Namun, serangan ini mensyaratkan pelaku sudah memiliki akses administrator ke server Exchange terlebih dahulu.
Peringatan CISA dan Langkah Mitigasi
Badan Keamanan Siber dan Infrastruktur AS (CISA) menyatakan dalam buletinnya bahwa celah ini bisa berdampak pada integritas identitas layanan Exchange Online jika tidak segera diperbaiki.
Sebagai langkah mitigasi, Microsoft merekomendasikan pelanggan untuk:
- Meninjau kembali konfigurasi keamanan Exchange Server hybrid
- Menginstal Hot Fix April 2025 atau yang lebih baru
- Mengikuti panduan konfigurasi terbaru
Jika sebelumnya sudah mengaktifkan konfigurasi hybrid atau autentikasi OAuth antara Exchange Server dan Exchange Online tetapi tidak lagi digunakan, pengguna diminta untuk mereset keyCredentials pada service principal.
Dalam presentasinya di konferensi keamanan Black Hat USA 2025, Mollema menjelaskan bahwa Exchange Server lokal menyimpan sertifikat kredensial yang digunakan untuk mengautentikasi ke Exchange Online menggunakan OAuth. Sertifikat ini dapat dimanfaatkan untuk meminta token S2S (Service-to-Service) dari Microsoft Access Control Service (ACS), sehingga memungkinkan akses penuh ke Exchange Online dan SharePoint tanpa pengawasan keamanan tambahan.
Token tersebut bahkan bisa digunakan untuk menyamar sebagai pengguna hybrid apa pun dalam tenant selama 24 jam apabila properti “trustedfordelegation” diaktifkan, dan tidak meninggalkan log saat diterbitkan.
Microsoft berencana untuk mewajibkan pemisahan service principal antara Exchange lokal dan Exchange Online secara permanen paling lambat Oktober 2025.
Langkah Keamanan Tambahan
Mulai bulan ini, Microsoft juga akan sementara memblokir lalu lintas Exchange Web Services (EWS) yang menggunakan shared service principal di Exchange Online, untuk mendorong adopsi aplikasi hybrid Exchange yang khusus dan meningkatkan keamanan konfigurasi hybrid.
Peringatan CVE-2025-53786 ini juga muncul bersamaan dengan analisis CISA atas artefak berbahaya terkait eksploitasi kerentanan SharePoint yang baru ditemukan, dikenal sebagai ToolShell.
Artefak ini meliputi dua file DLL dalam format Base64 dan empat file ASPX, yang dapat mengambil pengaturan kunci mesin pada aplikasi ASP.NET dan bertindak sebagai web shell untuk mengeksekusi perintah atau mengunggah file.
“Pelaku ancaman siber bisa menggunakan malware ini untuk mencuri kunci kriptografi dan menjalankan perintah PowerShell yang telah dienkode Base64 untuk melakukan fingerprinting sistem dan mengekstrak data,” tambah CISA.
CISA juga mengimbau organisasi untuk memutus koneksi internet pada Exchange Server atau SharePoint Server yang telah mencapai akhir masa dukungan (end-of-life) atau layanan, serta menghentikan penggunaan versi lama.